Auf ein Neues: Stellungnahme(n) von Fonic.

Das bisher auf mich eigentlich ganz okay wirkende Social Media-Team von Fonic hat auf meinen gestrigen Post bezüglich deren Passwortpolitik reagiert. Oder auch eigentlich eher nicht. Passt auf:

EDIT: Weil es gerade zu Verwirrung führte: In den gleich zitierten Tweets steht immer der selbe Tweet von mir oben drüber. Das liegt daran, dass Fonic alle Tweets als Antwort auf diesen einen Tweet geschrieben hat. Tweetweet.

Doch. Könnt ihr. Solltet ihr auch. Lasst euch von euren IT-Leuten nicht erzählen, dass das mit den Passwörtern so schon okay sei und sich niemand Gedanken machen muss. Remember eBay? Was denen passiert ist kann euch auch passieren. Aber eBay hat die Nutzerpasswörter wenigstens verschlüsselt gespeichert. Wie war das gleich bei euch?

Nein, es hat keine Richtigkeit. Dass euer Vorgehen sehr sehr zweifelhaft ist, ist common knowledge. Ich habe euch nur darauf hingewiesen weil eure ITler offensichtlich gepennt haben. Ich wollte euch damit nicht ans Bein pissen oder euch in ein schlechtes Licht rücken. Das schafft ihr mit euer Reaktion ganz gut selbst.

Und das ist auch okay so.

Habe ich gemacht und ihr habt euch drum gekümmert. Danke dafür. (Auch wenn eure Technikabteilung anscheinend geschlossen im Urlaub ist – mein Problem wurde noch nicht gelöst. Aber es geht hier auch gar nicht mehr um mein Problem.)

Das ist das Problem. Ihr habt genug Möglichkeiten eure Kunden zu identifizieren (Mailadresse, Ausweiskopie, theoretisch deren Telefonnummer); warum ist es euch so wichtig, dass es unbedingt über die ersten 3 Buchstaben des Passwort funktionieren muss? Warum speichert ihr die Passwörter nicht gehasht und lasst den User in seinem Online-Account den Hashwert seines Passworts sehen den er euch dann am Telefon diktieren kann? Ihr könntet den Kunden bei ihrer Anmeldung auch einfach eine 4-stellige Support-PIN zukommen lassen die ihr speichern könnt wie ihr wollt, die aber nur beim Telefonsupport verwendet wird.

EDIT: Thomas Roth weiß mich gerade via Twitter darauf hin, dass das mit der Ausweiskopie auch eher dumm ist.

Hä?

Ich mache das mit dem Feedback lieber weiter hier, danke.

Das hier kam über einen Facebook-Kommentar:

Screenshot 2014-06-11 20.30.27

Tatsächlich kam der Kommentar vor den Tweets; inhaltlich ist das auch fast redundant… mein mittlerweile größtes Problem bei der ganzen Geschichte ist, dass die Fonic-Leute immer noch nicht verstanden haben was ich überhaupt meine: Ich will mich nicht beschweren, ich will nicht trollen und ich habe keine Absicht eine Mauer zu errichten; ich bin lediglich auf ein nicht unerhebliches Sicherheitsproblem gestoßen, welches Fonic gehörig in den Arsch beißen könnte, wenn sie sich nicht darum kümmern. Zumal die Beseitigung des Problems eine Kleinigkeit wäre.

Ich würde mich immer noch über eine Stellungnahme eines (IT-)Verantwortlichen von Fonic freuen, da dass hier ganz klar nicht mehr das Gebiet des Social-Media-Teams ist (dem ich gar keinen Stress bereiten wollte. Ich habe euch lieb, Fonic-Social-Media-Team!)

Wenn irgendeiner meiner Leser oder die Leute von Fonic (oder vielleicht einer der Facebooktrolls?) immer noch nicht verstehen um was es hier geht: Lasst uns einen gemeinsamen Videochat machen in dem ich live versuche, das Problem zu erklären und eure Fragen zu beantworten. Deal?